Congreso DINTEL CLOUD Computing 2011 Virtualización en la Red

Transcripción

1 Congreso DINTEL CLOUD Computing 2011 Virtualización en la Red Sesión Tecnológica 2: Seguridad en la nube La seguridad en las clouds de las Administraciones Públicas Víctor M. Izquierdo Loyola Director general de INTECO Madrid, 8 de febrero de 2011

2 ENFOQUE DE LA PRESENTACIÓN 1. Qué es INTECO? 2. Cuáles son sus proyectos y actuaciones en Seguridad de la Información? 3. En concreto, cuál es el papel de INTECO en relación con la seguridad en las clouds de las AAPP? 2

3 1- El Instituto Nacional de Tecnologías de la Comunicación, INTECO

4 Qué es INTECO? En pocas palabras Sociedad estatal adscrita al MITYC a través de la SETSI. El 100% de sus acciones es propiedad de la E. P. E. red.es. Instrumento desarrollo de la Sociedad de la Información. Gestión, asesoramiento, promoción y difusión de proyectos. Medio propio y servicio técnico de la Administración General del Estado y sus Organismos Públicos. MISIÓN La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. 4

5 Líneas de actividad de INTECO Seguridad Accesibilidad Calidad TIC Centro de Respuesta a Incidentes TI para ciudadanía y empresas INTECO-CERT. Oficina de Seguridad al Internauta (OSI). Observatorio de Seguridad de la Información. Servicios a AAPP. Accesibilidad Web, de acuerdo con estándares. Accesibilidad a la TDT. Servicios Públicos Interactivos TDT. Apoyo al Centro Nacional de Tecnologías de la Accesibilidad (CENTAC). Oficina Técnica de Calidad en Proyectos de Desarrollo/ Adquisición de Software. Atracción y promoción de proyectos empresariales (Polo TIC de León). Promoción de estándares y certificación. FORMACIÓN 5

6 Foros y grupos especializados Seguridad: Estándares y Otros: 6

7 Para quién trabaja INTECO? Quiénes son sus clientes? Las Administraciones Públicas, en particular, la Administración General del Estado, de la que INTECO es medio propio y servicio técnico. Las PYME. Las empresas españolas del sector TIC, especialmente las que trabajan en las líneas de actividad de INTECO. Los ciudadanos en general. 7

8 2- Proyectos y servicios de INTECO en materia de Seguridad TIC

9 Área de Seguridad Tecnológica Qué tipo de actividades desarrolla en materia de seguridad? Desarrolla proyectos en ejecución de políticas públicas en torno a la Seguridad de la Información (gratuitos para sus destinatarios finales). Promueve la investigación aplicada y la formación especializada en el ámbito de la seguridad de la información. Presta servicios de Seguridad de la Información a sus clientes (de acuerdo con tarifas que tiene aprobadas). INTECO - CERT CENTRO DEMOSTRADOR DE TECNOLOGÍAS Oficina de Seguridad del Internauta OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN 9

10 El Centro de Respuesta a Incidentes de Seguridad (INTECO CERT) 10

11 INTECO-CERT Objetivos Impulsar la confianza en las TIC promoviendo su uso de forma segura y responsable Minimizar los perjuicios ocasionados por incidentes de seguridad, accidentes o fallos facilitando mecanismos de prevención y reacción adecuados Prevenir, informar, concienciar y formar a la PYME y al ciudadano proporcionando información clara y concisa acerca de la tecnología y el estado de la seguridad en Internet. 11

12 INTECO-CERT. Servicios en materia de seguridad: Servicios de Información: Suscripción a boletines y alertas Actualidad, noticias y eventos Avisos online sobre nuevos virus, vulnerabilidades, virus más extendidos por correo electrónico, información sobre correo electrónico no deseado. Servicios de Formación: guías, manuales, cursos online Servicios de Protección: útiles gratuitos y actualizaciones de software Servicios de Respuesta y Soporte: Gestión y resolución de Incidencias Gestión de malware o código malicioso Fraude electrónico Asesoría Legal Foros 12

13 Oficina de Seguridad del Internauta (OSI) 13

14 OSI Servicios de la Oficina de Seguridad del Internauta Portal Web de fácil acceso con herramientas, información útil y sistemas de ayuda al internauta sobre temas de seguridad: Contenidos en materia de seguridad (guías, manuales, buenas prácticas, preguntas frecuentes, etc.). Catálogo de herramientas y útiles de seguridad. Actualidad, noticias y eventos. Servicio online de consultas guiadas y formularios de consulta. Foros de seguridad. Atención de consultas al internauta: Telefónicas ( ). WEB: foros y correo electrónico. 14

15 Centro Demostrador de Tecnologías de la Seguridad 15

16 Centro Demostrador de Tecnologías de la Seguridad Objetivos Fomentar y difundir el uso de tecnologías de seguridad de la información Catálogo de Empresas y Soluciones de Seguridad TIC. Basado en una Taxonomía consensuada con la industria. Formación a la PYME. Difusión e impulso de la tecnología de seguridad. 16

17 Centro Demostrador de Tecnologías de la Seguridad Catálogo de empresas y soluciones Catalogación de todos los actores del mercado: datos de los proveedores. Catalogación de los productos que ofrecen: datos de los productos (bienes o servicios). Catálogo impreso 17

18 Observatorio de la Seguridad de la Información 18

19 Observatorio de la Seguridad de la Información Estudios: Estudio sobre el fraude a través de Internet (3T2010). Estudio sobre la seguridad de la información y e-confianza de los hogares españoles (3T2010). Estudio sobre el estado de la pyme española ante los riesgos y la implantación de Planes de Continuidad de Negocio. Estudio sobre la seguridad de las comunicaciones móviles e inalámbricas (2T2010). Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español. Guías y Manuales: Guía de introducción a la Web 2.0: aspectos de seguridad y privacidad en las plataformas colaborativas. Guía sobre seguridad y privacidad en el Comercio Electrónico. Guía para padres y madres sobre uso de videojuegos por menores. 19

20 Servicios de Seguridad de la Información para la AGE y otros agentes Servicios de Seguridad 1. Auditorías Técnicas de Seguridad: perimetral, interna, Web, de código de aplicaciones, sobre activos de Información móviles, sobre redes y protocolos de comunicación, etc. AUDITORÍA PERIMETRAL AUDITORÍA INTERNA Auditoría de seguridad sobre los activos expuesto en Internet. Incluye servicio de consultoría para la mitigación del riesgo detectado. Posibilidad de modalidad periódica. Auditoría de seguridad sobre los activos internos de la organización. Incluye servicio de consultoría para la mitigación del riesgo detectado. Posibilidad de modalidad periódica. 2. Bastionado de Sistemas Fortificación de un sistema de la organización. Incluye procedimiento para futuras revisiones de seguridad del sistema. 3. Análisis Forense de Sistemas Análisis del incidente y recopilación de evidencias. 4. Análisis de Riesgos Identificación y valoración del riesgo asociado a un grupo de activos. 20

21 Servicios de Seguridad de la Información para la AGE y otros agentes Servicios de Seguridad 5. SGSI y Planes Directores de Seguridad Diseño e implantación de estrategia de seguridad en la organización (adaptación al Esquema Nacional de Seguridad). 6. Seguridad Gestionada (I-COS) Monitorización de seguridad y gestión de vulnerabilidades. 7. Pre-evaluación para Certificación CC Orientado a pymes. 8. Cloud CERT Orientado a agentes que deseen ofrecer servicios CERT a sus usuarios. P.ej. CCAA. 9. Formación y capacitación Incluye: Máster Profesional de la ULE en Tecnologías de la Seguridad Cursos de especialización para profesionales de la Seguridad Cursos para profesionales de otros ámbitos. 21

22 3- INTECO y las clouds de las AAPP

23 Servicio CLOUD CERT Qué es CLOUD CERT? Es un servicio que se apoya en una plataforma de conocimiento, información y servicios para una eficiente puesta en marcha y operación de un centro de respuesta a incidentes. PLATAFORMA Servicios Herramientas FORMACIÓN ASESORAMIENTO Puesta en marcha Políticas Procedimientos OBJETIVOS Facilitar la creación, puesta en marcha y operación de forma rápida y eficaz de nuevos centros de respuesta a incidentes de seguridad, para lo cual INTECO pone a disposición el conocimiento adquirido en INTECO- CERT. Ofrecer los servicios necesarios para la explotación de los nuevos centros de respuesta, incluyendo servicios preventivos, reactivos, así como las herramientas de seguridad ya disponibles en INTECO-CERT y que los nuevos centros de respuesta tendrán a su disposición a través de dicha infraestructura. Crear un repositorio colaborativo de información de seguridad integrando las aportaciones de los CERT s participantes con la supervisión de INTECO-CERT. 23

24 CLOUD CERT CERT 2 CERT 1 Consola Administración Servicios INTECO-CERT Respuesta Incidentes Herramientas CERT ANALISIS MW Sensores Virus, Vulnerabilidades CONAN 24

25 Guía para empresas sobre cloud computing: implicaciones de seguridad y privacidad CONTENIDOS DE LA GUÍA Introducción: desarrollo del modelo, niveles de servicio, implantación y proveedores Características principales Riesgos relacionados con cloud computing Seguridad en la nube Privacidad en la nube Aspectos legales y marco jurídico Por qué y cómo entrar en la nube? Fecha de publicación prevista: marzo

26 Colaboración con el Capítulo español de la Cloud Security Alliance Grupos de Trabajo: Privacidad y cumplimiento normativo. SGSI y gestión de riesgos: cuenta con participación de INTECO. Contratación, Evidencias y Auditoría. 26

27 Colaboración con ENISA, la Agencia Europea de Seguridad en las Redes y los Sistemas de Información Security & Resilience in Governmental clouds Contribución de INTECO en su elaboración a través de Marcos Gómez, Subdirector de Programas de INTECO y miembro del PSG de ENISA. Conversión a documento pdf accesible. Traducción al español. Fecha prevista de publicación en español: marzo

28 Security & Resilience in Governmental clouds Recomendaciones para los Organismos Públicos Evaluar sus riesgos y definir sus requisitos a fin de identificar qué solución cloud satisface sus necesidades. Considerar también el factor humano y el marco legal. Revisar las políticas y procedimientos de gestión de la seguridad de la información y evaluar cómo se abordarían o se soportarían en diferentes modelos de cloud. Definir SLA (disponibilidad, tiempo de respuesta ) adecuados a sus requisitos. Asegurarse de que los requisitos esenciales de seguridad, capacidad de resistencia y legales quedan adecuadamente recogidos en los requisitos de nivel de servicio y en los SLA. Disponer de herramientas, metodología y estructuras de gobernanza (p. ej. para garantizar la diligencia debida). Asegurarse de que las infraestructuras de comunicaciones, las dependencias críticas (suministro eléctrico, p. ej.), la capacidad de proceso y de almacenamiento quedan garantizadas y mantenidas. Poner a prueba el Plan de Continuidad de Negocio a lo largo de toda la cadena de provisión de servicios. 28

29 Security & Resilience in Governmental clouds Escenarios 1.Cloud para sanidad: uso del cloud computing en la implementación de un servicio de Historias clínicas, a nivel nacional, regional y local. 2.Administraciones locales: Servicios públicos electrónicos. 3.Cloud de la Administración como incubadora de empresas. 29

30 Muchas gracias por su atención